Cisco Cisco Firepower Management Center 2000 Betriebsanweisung
58-17
FireSIGHT 系统用户指南
第 58 章 了解和使用工作流程
使用工作流程
使用地理定位
许可证:FireSIGHT
受支持的设备:因功能而异
受支持的防御中心:除 DC500 外的所有型号
在监控网络时,
地理定位功能提供有关可路由 IP 地址的地理源的其他数据 (国家/地区和大陆
等)。可以使用此数据确定例如连接是起源于还是终止于与贵公司无关联的国家/地区。
地理定位信息可用于入侵事件、连接事件、文件事件、恶意软件事件、主机配置文件和用户配置
文件。地理定位信息在 Context Explorer 和控制面板中也可用。
文件。地理定位信息在 Context Explorer 和控制面板中也可用。
点击显示在用户身份列中的用户图标,以查看用户配置文件信息。有关详细信息,请参
阅
阅
如果用户图标灰显,则无法查看用户配置文件,因为该用户不能位于数据库中
(FireAMP连接器用户)。
点击显示在第三方漏洞 ID 列中的漏洞图标,以查看有关第三方漏洞的漏洞详细信息。有
关详细信息,请参阅
关详细信息,请参阅
。
复选框
按页面上的两行或多行选择复选框,以指示要影响哪些行,然后点击该页面底部的按钮
之一 (例如,
之一 (例如,
View
按钮)。还可以选择行顶部的复选框以选择页面上的所有行。
国家/地区旗帜和代码
在某些工作流程页面 (如对应于连接事件、入侵事件、文件事件和恶意软件事件的页
面)中,可路由 IP 地址包含关联国家/地区的有关信息。当此地理定位信息可用时,国家/
地区的旗帜和 ISO 代码显示在相应的列中 (如 Source Country)。将指针悬停在旗帜上方
以查看国家/地区名称。查看个别 (而不是聚集)数据点时,可以点击旗帜图标以查看进
一步地理定位详细信息。有关详情,请参见
面)中,可路由 IP 地址包含关联国家/地区的有关信息。当此地理定位信息可用时,国家/
地区的旗帜和 ISO 代码显示在相应的列中 (如 Source Country)。将指针悬停在旗帜上方
以查看国家/地区名称。查看个别 (而不是聚集)数据点时,可以点击旗帜图标以查看进
一步地理定位详细信息。有关详情,请参见
请注意, DC500 防御中心不支持地理定位数据。
搜索限制
列出值 (如果有),从而对数据视图加以限制。点击展开箭头 (
) 以显示活动限制和已
禁用列列表,或者点击折叠箭头 (
) 以隐藏列表。默认情况下,此列表已折叠,这在限
制列表过长并占据过多屏幕时有用。
要移除单一限制,请点击该限制。要移除复合限制,请点击
Compound Constraints
。
点击
Edit Search
或
Save Search
以打开使用当前单一限制预填充的搜索页面。有关详情,请
注
复合限制是根据含有多个非计数值的行创建的限制。不能对复合限制执行搜索或
保存搜索操作。
保存搜索操作。
时间范围
位于页面右上角的日期范围为工作流程中要包含的事件设置时间范围。有关详情,请参
见
见
请注意,如果按时间限制事件视图,则在设备配置的时间段外生成的事件 (无论是全局
或特定事件)可能显示在事件视图中。即使已经为设备配置一个滑动时间窗,这种情况
仍然可能发生。
或特定事件)可能显示在事件视图中。即使已经为设备配置一个滑动时间窗,这种情况
仍然可能发生。
工作流程页面链接
工作流程页面链接显示在预定义工作流程表视图和向下钻取页面左上角,位于事件上方
和工作流程名称下方。点击工作流程页面链接,以使用任何活动限制显示该页面。
和工作流程名称下方。点击工作流程页面链接,以使用任何活动限制显示该页面。
工作流程名称
工作流程的名称显示在页面顶部。其旁边 (适用时)是
(switch workflows)
链接,可用于选
择同一类型的其他工作流程。
表
58-22
表视图和向下钻取页面功能 (续)
特性
说明